Cointelegraph сообщил о нарушении кибербезопасности на Io.net, децентрализованной сети физической инфраструктуры (DePIN). Злоумышленники использовали пользовательские идентификаторы для проведения атаки SQL-инъекции, которая несанкционированно изменяла метаданные устройства в сети GPU.

Husky.io, главный офицер по безопасности Io.net, быстро принял решительные меры и внедрил обновления безопасности для защиты сети. К счастью, атакующие не скомпрометировали фактическое оборудование GPU из-за сильных уровней разрешений.

Нарушение было обнаружено, когда наблюдался скачок записей в API метаданных GPU, вызывая сигналы тревоги в 1:05 утра по тихоокеанскому времени 25 апреля.

Для противодействия этому нарушению были усовершенствованы меры безопасности путем добавления проверок на SQL-инъекции на API и улучшения ведения журнала несанкционированных попыток. Более того, было быстро внедрено решение аутентификации для конкретного пользователя с использованием Auth0 и OKTA для устранения уязвимостей, связанных с универсальными токенами авторизации.

Однако это обновление безопасности совпало с моментом снимка программы вознаграждения, что привело к снижению участников со стороны поставщиков. Следовательно, законные GPU, которые не прошли перезагрузку и обновление, не могли получить доступ к API времени работы, что привело к значительному снижению активных подключений GPU.

Для решения этих проблем был запущен Ignition Rewards Season 2 в мае для поощрения участия со стороны поставщиков. Непрерывные усилия ведутся вместе с поставщиками по обновлению, перезапуску и повторному подключению устройств к сети.

Нарушение произошло из-за уязвимостей, внедренных во время внедрения механизма доказательства работы для идентификации поддельных GPU. Сильные меры безопасности перед инцидентом спровоцировали увеличение методов атак, что потребовало постоянных оценок безопасности и улучшений.

Атакующие воспользовались уязвимостью API, чтобы непреднамеренно раскрывать идентификаторы пользователей при поиске по идентификаторам устройств в исследователе ввода/вывода. Они собрали эти утекшие данные в базу данных недели до нарушения.

Получив доступ к действительному универсальному токену аутентификации, злоумышленники получили доступ к "worker-API" и изменили метаданные устройства без необходимости аутентификации на уровне пользователя.

Husky.io подчеркнул важность непрерывных комплексных обзоров и испытаний на проникновение на общедоступных конечных точках для раннего выявления и устранения угроз. Несмотря на вызовы, принимаются меры для мотивации участия со стороны поставщиков и восстановления сетевых подключений, обеспечивая целостность платформы и обеспечивая доставку десятков тысяч часов вычислений ежемесячно.